前面我們對一部分的dhcp relay配置進行了講解，大家應該也有了一定的掌握了。那么這里我們主要在介紹一下其中的dhcp relay握手功能以及禁止vlan幾口上的安全問題。那么這兩方面的配置是如何完成呢的？

◆使能/禁止vlan接口上的dhcp安全特性

當客戶端通過dhcp中繼從dhcp服務器獲取到ip地址時，dhcp中繼會記錄ip地址與mac地址的綁定關系。用戶也可以手工配置用戶地址表項，即ip地址與mac地址的靜態綁定。

為了防止非法用戶靜態配置一個ip地址，并訪問其他網絡，設備支持dhcp中繼安全特性。使能vlan接口上的dhcp安全特性將啟動vlan接口下用戶地址合法性的檢查，如果用戶配置的ip地址與用戶的mac地址的對應關系沒有在dhcp中繼的用戶地址表中（包括dhcp中繼動態記錄的表項以及手工配置的用戶地址表項），則dhcp中繼將不允許該用戶訪問外部網絡。

請在vlan接口視圖下進行下列配置。 

缺省情況下，vlan接口上的dhcp安全特性為關閉狀態。

使能了vlan接口上的dhcp安全特性后，將導致已經申請到ip地址的客戶端無法獲得訪問權限，需要客戶端重新申請ip地址，建議管理員在沒有用戶獲得ip地址前進行該配置！

◆開啟dhcp relay握手功能

當dhcp客戶端通過dhcp中繼從dhcp服務器獲取到ip地址時，dhcp中繼會記錄ip地址與mac地址的綁定關系。當交換機上使能了dhcp relay握手功能后，dhcp relay將根據綁定關系中的ip地址和自己的mac地址，定時向dhcp server端發送握手報文（dhcp-request報文）。

如果dhcp服務器響應dhcp-ack報文，則表明這個ip地址已經可以進行分配，dhcp中繼會將動態用戶地址表中對應的表項老化掉；

如果dhcp服務器響應dhcp-nak報文，則表示該ip地址的租約仍然存在，dhcp中繼不會老化該ip地址對應的表項；

如果dhcp服務器沒有響應dhcp中繼的握手報文，dhcp 中繼會繼續給這個綁定關系握手，當3次不能收到回應時，認為這個ip地址已經可以進行分配，dhcp中繼將動態用戶地址表中對應的表項老化掉；

當交換機上禁止了dhcp relay握手功能后，dhcp relay不會定時向dhcp server端發送握手報文（dhcp-request報文），導致用戶安全表項不斷增加，將占用大量系統資源，請慎重使用！

當dhcp客戶端釋放該ip地址時，會發送單播dhcp-release報文給dhcp服務器；而dhcp中繼不會處理該報文，造成dhcp中繼的用戶地址項不能被實時刷新。